网络攻击与安全防御的分析论文正稿

1、本科毕业设计（论文）题目：网络攻击与安全防御的分析学生：学号：系（部）：数学与计算机系 专业：计算机科学与技术 入学时间：201年月导师：职称/学位：导师所在单位：网络攻击与安全防御的分析摘 要随着计算机网络技术的飞速发展，计算机网络已涉与到国家、军事、金融、科技、教育等各个领域成为社会发展的重要保证。因此需要一些新的技术和解决方案来防御网络安全威胁，具有主动防护功能的网络攻击转移防护系统就是其中的一种。对网络攻击转移防护系统的主动防御功能进行了探讨，并论述了将其用于网络安全防护的优缺点。在全面分析常见的网络攻击手段与对策的基础上，结合可适应网络安全理论提出了一种有效的攻击防御系统，网络攻击效

2、果评估技术研究等。通过对网络安全脆弱性的分析，研究了网络攻击的方式和过程，分析了网络安全防御的特点、策略和过程。关键词：网络攻击；网络安全；防御analysis ofnetwork attackand networkdefenseAbstractIn the information age, network has become important and indispensable for social. in network development and its extensive use, the problems ofnetwork security are increasingly

3、 serious,ofwhichnetwork attack becomes a threat to net-work security that can notbe ignored. This paperhas analyzedmethods and characteristics of the network attack and put forward somedefense strategies of strengthening network security.Key words：network security；network attack；defense 目录前言1第一章网络攻击

4、概述11.1网络攻击概述11.1.1网络攻击11.1.2网络攻击的步骤21.2网络防御技术的概述21.2.1网络安全的特性21.2.2网络安全的分析31.2.3网络安全技术手段4第二章网络攻击的主流技术52.1电子欺骗52.2程序攻击7第三章网络安全的防御技术分析93.1 网络安全防御的过程分析93.2数据加密技术93.3防火墙技术103.4入侵检测11结束语13参考文献1412 / 15网络攻击与安全防御的分析前 言随着计算机网络技术的飞速发展，计算机网络已涉与到国家、军事、金融、科技、教育等各个领域，成为社会发展的重要保证。但是网络的开放性和共享性，使网络受到外来的攻击，这样给网络造成的严

5、重攻击会使正常的数据被窃取，服务器不能正常提供服务等等，人们采取一些有效的措施和手段来防止网络遭受破坏，例如防火墙和一些网络技术手段等，传统的信息安全技术，主要是在阻挡攻击(防火墙)或与时侦测攻击。一旦攻击者绕过防火墙随意访问部服务器时，防火墙就无法提供进一步的防护。与时侦测攻击只有在攻击开始时才会提供信息，但这却无法为你争取足够的时间以保护所有易被攻击的系统。无法判断出新的攻击是否成功，或被攻系统是否成为跳板。所以一个成功的防御措施，应是既可以拖延攻击者，又能为防御者提供足够的信息来了解敌人，避免攻击造成的损失。灵活的使用网络攻击转移防护技术，就可以达到上述目标。设计好的牢笼系统中，拖延并控

6、制住攻击者，进而保护真正的服务器并研究黑客为防御者提供攻击者手法和动机的相关信息。第一章网络攻击概述1.1网络攻击概述1.1.1网络攻击网络攻击也称为网络入侵，网络攻击带来的危害就像一颗核武器爆炸带来的伤害，企图危与到网络资源的安全性和完整性的行为，破坏系统的安全措施以达到非法访问信息，改变系统的行为和破坏系统的可用性的目的。网络攻击主要是通过信息收集、分析、整理后发现目标系统漏洞与弱点,有针对性地对目标系统(服务器、网络设备与安全设备)进行资源入侵与破坏,信息窃取、监视与控制的活动。主要有以下几点：(1)外部渗透是指未被授权使用计算机又未被使用数据或程序资源的透。(2)部渗透是指虽被授权使用

7、计算机但未被使用数据或程序资源的渗透。(3)不法使用是指利用授权使用计算机数据和程序资源合法用户身份的渗透。网络攻击策略与攻击过程:攻击者的攻击策略可以概括信息收集、分析系统的安全弱点、模拟攻击、实施攻击、改变日志、清除痕迹等，信息收集目的在于获悉目标系统提供的网络服务与存在的系统缺陷,攻击者往往采用网络扫描、网络口令攻击等。在收集到攻击目标的有关网络信息之后，攻击者探测网络上每台主机,以寻求该系统安全漏洞。根据获取信息,建立模拟环境,对其攻击,并测试可能的反应,然后对目标系统实施攻击。猜测程序可对截获用户账号和口令进行破译；破译程序可对截获的系统密码文件进行破译；对网络和系统本身漏洞可实施电

8、子引诱(如木马)等。大多数攻击利用了系统本身的漏洞，在获得一定的权限后，以该系统为跳板展开对整个网络的攻击。同时攻击者都试图毁掉攻击入侵的痕迹。在目标系统新建安全漏洞或后门，以便在攻击点被发现之后，继续控制该系统。1.1.2网络攻击的步骤在网络更新的时代，网络中的安全漏洞无处不在，网络攻击正是利用对安全的漏洞和安全缺陷对系统和资源进行攻击。主要有以下步骤：（1）隐藏自己的位置普通的攻击者通常会用他人的电脑隐藏他们真实的IP地址，老练的攻击者会用的无人转接服务连接ISP然后盗用他人的账号上网。（2）寻找目标主机并分析目标主机攻击者主要利用域名和IP地址可以找到目标主机的位置，但是必须将主机的操作

9、系统类型和提供的服务等资料做了全面的了解。知道系统的哪个版本，有哪些账户www，ftp等服务程序是哪个版本，并做好入侵的准备。 （3）获得账号和密码并登陆主机攻击者如果想要用户的资料必须要有用户的账号和密码，对用户的账号进行破解从中获得账号和口令，再寻找合适的机会进入主机。利用某些工具或者系统的登陆主机也是一种方法。 （4）获得控制权网络攻击者登陆并获得控制权后，清除记录，删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步。 （5）窃取网络资源和特权攻击者找到攻击目标后，会继续下一步，例如下载资源信息，窃取账号密码信用卡号等经济盗窃使网络瘫痪。网络攻击的原理:网络入侵总是利用系统存在

10、的缺陷，这些缺陷可能是网络的不合理规划造成的，也可能是系统的开发所留下的BUD，还有是人为的安全疏忽所造成的系统口令丢失，明文通信信息被监听等。主要有网络协议的缺陷如ARP协议、TCP/IP协议、UDP协议、ICMP协议等。系统或者软件设计中的漏洞，人为的失误或者疏忽。1.2网络防御技术的概述在网络防御中，随着网络攻击技术的不断发展，以与难度越来越大，网络防御技术也面临着同样的问题，需要不断提高防御技术。1.2.1网络安全的特性网络安全的主要因素有性、完整性、可用性、可控性、可审查性。性是指信息不泄露给非授权用户、实体和过程或者供其利用的特性。完整性是指数据未经授权不能进行改变的特性。可用性指

11、授权用户使用并按照需求使用的特性。可控性对信息的传播和容具有控制能力。可审查性出现的安全问题时提供依据与手段。1.2.2网络安全的分析1.物理安全分析网络的物理安全的分析是整个网络安全的前提。在网络工程中，网络工程属于弱电工程，耐压值低。在设计过程中必须首先保护人和网络设备不受电，火灾雷电的袭击，考虑布线的问题还要考虑计算机与其他弱电耐压设备的防雷。总的来说物理安全风险有地震、火灾等环境、电源故障、人为操作失误或错误，高可用性的硬件，双机多冗余的设计，机房环境与报警系统、安全意识等，要尽量避免网络物理安全风险。2.网络结构的安全分析网络拓扑结构设计也直接影响到网络系统的安全，在外部和部网络进行

12、通信时，部网络的机器就会受到安全的威胁，同样也会影响到其他的系统。通过网络的传播还能影响到其它的网络，我们在做网络设计时有必要公开服务器和外网与其网络进行必要的隔离，避免网络信息的泄漏。同时还要对外部的服务请求加以过滤，只允许正常的数据包到达相应的主机，其它的服务在到达主机之前就应该遭到拒绝。3.系统安全的分析系统安全的分析是指整个网络操作系统和网络平台是否可靠和值得信赖，没有安全的网络操作系统，不同的用户应从不同的方面对其网络做详细的分析。选择安全性比较高的操作系统并对操作系统进行安全配置，必须加强登陆过程的认证，确保用户的合法性；其次限制操作用户的登陆权限，将其完成的操作限制在最小的围。1

13、.2.3网络安全技术手段 物理措施 保护网络的关键设备，制定完整的网络安全规章制度。采取防火、防辐射、安装不间断电源等措施。 访问控制 对用户进行网络资源的访问权限进行严格的认证和控制。例如进行用户身份认证、对口令加密更新和鉴别等。 数据加密 加密是数据保护的重要手段，其作用是保障信息被人截获后不能读懂含义，防止计算机网络病毒，安装防止网络病毒系统。第二章网络攻击的主流技术2.1电子欺骗电子欺骗是通过伪造源于一个可信任地址的数据包以使一台机器认证另一台机器的电子攻击手段。它可分为IP电子欺骗、ARP电子欺骗和DNS电子欺骗三种类型。1.IP电子欺骗攻击IP电子欺骗是攻击者攻克工internet

14、防火墙系统最常用的方法，也是许多其他攻击方法的基础。IP欺骗技术就是通过伪造某台主机的IP地址，使得某台主机能够伪装成另外一台主机，而这台主机往往具有某种特权或被另外主机所信任。对于来自网络外部的欺骗来说，只要配置一下防火墙就可以，但对同一网络的机器实施攻击则不易防。一些基于远程过程调用（RPC）的命令都是采用客户/服务器模式，在一个主机上运行客户程序，在另一个主机上运行服务器模式。在建立远程连接时，服务程序根据文件进行安全检查，并只根据信源IP地址来确认用户的身份，以确定是否接受用户的RPC请求。由于RPC连接基于特定端口的TCP连接，而建立TCP连接需要建立三次握手过程，每次建立连接时TC

15、P都要为该连接产生一个初序列号ISN。 如果掌握了TCP初始序列分配方法与随时间的变化规律，很容易实施IP电子欺骗攻击。 假设B是A的所信任的主机，信任是指A的/etc/hosts. equiv 和SHOME /. 文件中注册B的IP地址，如果C企图攻击A，那么必须知道A信任B。C采用IP欺骗手段攻击的过程：（1）假设C知道了A信任B的，首先使B的网络暂时瘫痪，以免B干扰攻击。可以通过TCP SYN flood 攻击将B的网络功能暂时瘫痪。（2）C设法探测A的当前的ISN，可以向端口号25发送TCP SYN报文请求来实现。端口25是SMTP服务，不做任何检查并计算C到A的RTT平均值，如果了解

16、了A的ISN基值和增加规律（如果每秒增加128000，连续增加64000）也可计算到C到A的RTT平均值，可以立刻转入IP欺骗攻击。（3） C伪装B向A发送TCP SYN报文请求建立连接，原来的IP为B，TCP的端口为513，A向B回送TCP SYN+ACK进行响应。因为B的网络功能暂时 处于瘫痪的状态，无法向A发送TCP SYN+ACK进行响应。（4）C伪装成B向A发送TCP ACK 报文，该报文中带有C检测A的序列号ISN+1。如果序列预测准确，那么这个TCP连接便建立起来了并转入数据传送阶段。由于这是A和B之间的连接，A向B发送数据时，而不是向C，因此C还需要假冒B向A类似重定向命令来实

17、现通信。并且执行A的shell，获得root 权限。如果序列号预测不准确，则本次攻击宣告失败。IP欺骗攻击主要采用了RPC服务器的安全检查依赖于信源IP地址的弱点，但是一旦预测了A的ISN，攻击成功率很大。过程如图所示：图1：IP欺骗攻击原理图1)使B瘫痪 2)ISN和RTT3)假冒B建立连接4)重定向获取数据 获得shell和root权限2.ARP电子欺骗ARP电子欺骗是一种更改ARP Cache的技术。Cache中含有IP与物理地址的映射信息，如果攻击者更改了A即Cache中IP物理地址联编，来自目标的数据包就能发送到攻击的物理地址，因为依据映射信息，目标机己经信任攻击者的机器了。防止A即

18、欺骗:把网络安全信任关系建立在IP基础上，而不仅是两者之一；设置静态IP对应表，让主机刷新你设定好的转换表;使用代理IP的传输。3.DNS电子欺骗当攻击者危害DNS服务器并明确地更改主机名IP地址映射表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。防方法是用转化得到的IP地址或域名再次作反向转换验证。4.炸弹电子炸弹是最古老的匿名

19、攻击之一,通过设置一台机器不断地大量的向同一地址发送电子,攻击者能够耗尽接收者网络的带宽,占据空间,使用户储存空间消耗殆尽,从而阻止用户对正常的接收,妨碍计算机的正常工作。防止炸弹的方法主要有通过配置路由器,有选择的接受电子,对地址进行配置,自动删除来自同一主机的过量或重复的消息,也可使自己的SMTP连接只能达到指定的服务器,从而免受外界的侵袭。安全漏洞包括操作系统漏、网络协议漏洞、数据库系统漏洞、应用程序漏洞、硬件漏洞等。任何的软件都不可能是完美，总是存在一些漏洞，这也是软件不断升级和打补丁的原因之一。漏洞可能造成计算机资料的丢失或计算机不能正常使用。由于计算机各种漏洞太多，因此，有人用“野

20、火烧不尽，春风吹又生”来形容安全漏洞。操作人员疏忽例如操作人员的安全意识不强，配置不当，没采取必要的安全防护措施，疏忽大意导致的失误，误操作等。黑客攻击是计算机网络所面临的最大的威胁。黑客是一群熟练掌握网络技术，专门对计算机网络搞破坏或入侵的人。黑客没有国家地域的限制，只要遇到他们感兴趣的东西，他们就会利用各种方法和手段将其黑到手。2.2程序攻击程序攻击就是通过编写一些程序代码，让计算机来执行一系列指令，进而破坏系统的正常运行。病毒是一些程序，常常修改同一计算机中的另一些程序，将自己复制进其他程序代码中。一般的复制方法有覆盖型与附着型两种。当病毒发作时，会使系统产生不正常的动作。特洛伊木马程序

21、是驻留在目标计算机中的一个程序，在程序中提供了一些符合正常意愿使用的功能，但在其中却隐藏了用户不知道的其他程序代码，当目标计算机启动时，木马程序也启动，然后在某一特定端口监听。一旦条件成熟，这些非法代码就会被激活而执行一些操作，如传送或删除文件，窃取口令，重新启动机器等，使系统不能正常工作。特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在windows启动时运行的程序,采用服务器/客户机的运行方式,从而达到在上网是控制你的电脑目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中转播的指令。特洛伊木马

22、具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中，从而使它们受到感染。防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时，对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。蠕虫是一种可以在网上不同主机间传播，而不须修改目标主机上其他程序的一类程序。它不一定会破坏任何软件和硬件，蠕虫不断通过计算机网络将自己传送到各处，最后由于不断的扩使得系统不胜负荷。它还不断地收集包含密码或文件在的信息，蠕虫严重地消耗系统的资源和带宽。近几年出现了综合各种网络攻击手段的网络欺骗攻击、分布式

23、拒绝服务攻击和分布式网络病毒攻击。下面是各类网络攻击技术的分类与其新近的发展:漏洞类攻击:针对扫描器发现的网络系统的各种漏洞实施的相应攻击，跟随新发现的漏洞，攻击手段不断地翻新，防不胜防。由于这些攻击的新颖性，一般而言即使安装了实时人侵检测系统，也很难发现这一类攻击；阻塞类攻击:阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。DOS是典型的阻塞类攻击，常见的方法有:泪滴攻击、UDP/TCP洪泛攻击、Land攻击、电子炸弹等多种方式。为了针对宽带网络技术的发展,目前DOS已发展为更为猛烈的分布式集群攻击；病毒类攻击计算机病毒已经由单机病

24、毒发展到网络病毒，由DOS病毒发展到WINIOWS98/NT/2000/XP系统的病毒，现在已经发现UNIX系列的病毒。电子与蠕虫技术是网上传播病毒的主要方法，最近在红色代码n中病毒技术与后门技术结合是网络攻击手法的新动向；探测类攻击:信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。特洛伊木马也可以用于这一类目的。这类攻击主要包括:扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术；欺骗类攻击:欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配置或设置一些假信息来实施欺骗攻击，

25、主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子等；控制类攻击:控制型攻击是一类试图获得对你的机器控制权的攻击，最常见的有3种口令攻击、特洛伊木马攻击和缓冲区溢出攻击。口令截获与破解，仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。第三章网络安全的防御技术分析3.1 网络安全防御的过程分析一般来讲计算机网络安全防御技术可以分类以下几种:(1)物理安全技术包括通信保障设备和计算机设备两部分,目的是保护硬件实体和

26、通信线路免受攻击。(2)运行安全技术主要指基础协议的实现和应用系统两层的安全,包含网络和系统的可用性和资源使用合法性方面的保障，保障运行安全的主要技术和机制有:防火墙与身份认证技术、网络安全检测与监控等。(3)信息保护技术主要实现信息和数据在产生、存储、处理、传输的过程中的性、完整性和有效性。保障信息安全识别涉与到加密技术、访问控制与认证技术、数学签名、数据完整性技术等。其中加密技术是核心。1网络安全防御是一个动态过程为适应外部环境的飞速发展，网络系统的安全防御必须不断地相应的变化调整才能有效地保证安全防御系统的有效性。网络安全防御的过程如下:(1)进行态势分析以评估当前和预计的针对网络的安全

27、威胁以与网络自身各方面存在的脆弱性,预测和评估安全威胁产生的致命性后果带来的影响与损失。对网络的安全态势有一个清晰、客观和全面的了解。(2)建立基于安全政策的网络安全目标。这些目标针对要实现的安全(防御和威胁)程度以与实现的日期定量和定性的表述。(3)基于安全漏洞的普遍性和威胁的不确定性，制定满足安全目标的可供选择方法。(4)对各种可供选择的防御方法加以分析评估，根据其效能、可行性、效费和风险等指标进行决策,选择安全防御计划的组成要素(风险分析、保护、指示和预警、响应、灾难恢复)。将计划要素综合成一个一致的安全计划。(5)同时为贯彻防御计划制定一个度量和控制风险的方法，对风险发生的概率以与结果

28、进行量化。针对每个风险领域制定其消除防计划。(6)对所贯彻行动的效果和性能进行全过程监控，并根据出现的偏差进行改进调整。安全技术策略网络系统本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使得多种技术组合应用变得非常必要。攻击者使用的是“最易渗透原则”，必然在最有利的时间地点，从系统最薄弱的地方进行攻击。因此,全面地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击)，从网络的各个层次进行技术防是设计网络安全防2御系统的必要条件。目前采取的技术主要有：加密、认证、访问控制、防火墙技术、入侵检测、安全协议、漏洞扫描病毒防治、数据

29、备份和硬件冗余等。3.2数据加密技术数据加密是技术把数据的原始形式明文(通过加密算法和加密密钥变成另一种无意义的数据密文)过程，这个过程是可逆的。加密算法可以分为对称和不对称加密算法两种，对称加密算法是收发双方所持有的密钥一样,一把密钥既用来加密也用来解密,此种加密技术的优点是数据加解密速度较快,但是密钥自身的秘密分发比较困难，密钥管理复杂，不便于开放的网络环境中应用。不对称加密算法是收发双方持有不同的密钥，一把用来加密,另一把用来解密,这样就克服了密钥分发的安全问题,能够适应网络的开放性要求，但其缺点是算法复杂，加解密数据速度和效率较低，著名的算法有RSA算法。在实际应用中，考虑到这两种算法

30、的优缺点，通常用DES或IDEA算法来加密要传输的数据正文，而用RSA算法来加密对称加密算法的密钥，以保证密钥分发的安全。3数据加密技术在网络安全的应用数据加密是一种主动安全防御策略。它可实现用很小的代价为信息提供相当大的安全防护。在OSI七层结构中，除会话层以外其它各层均可进行一定的加密,但习惯是在高层上进行。因为在应用层采用软件加密方式其优点是，现在有标准的安全API(即信息安全应用程序模块)产品,比如IBM的CAPI(Cryptographic Application Programming Inter-face)、X/Open的GCS-API(Generic Cryptographic

31、 Ser-vice API)、Netscape的SSL(Secure Sockets Layer)等,实现方便,兼容性好。根据加密技术应用的逻辑位置不同可以将加密分为如下几种:(1)链路加密。通常将网络层以下的加密称为链路加密。它可以有效的保护通信链路上节点间的数据不被非法窃取，加密过程由置于节点间的加密设备完成。其缺点是信息在网络交换节点处以明文的形式出现，这是链路加密传输过程中的一个重要的不安全因素。链路加密由网络自动完成，不需用户干预，整个加密和解密过程对用户透明。4(2)节点加密。节点加密是在链路加密的基础上进行优化改进，它在协议传输层上进行加密，克服了链路加密在网络交换节点处信息易遭

32、非法窃取的缺点。(3)端到端加密。端到端加密是在源节点和目的节点中对传送的PUD进行加密和解密，报文的安全性不会因为中间节点的不可靠而受到影响。3.3防火墙技术所谓防火墙是指由一个软件和硬件设备组合而成，它实际上是一种隔离技术，处于网络群体计算机与外界通道之间，限制外界用户对于部网络访问以与管理部用户访问外界网络的权限。防火墙作为一种网络监视和过滤器，它监视每一个通过的数据报文和请求。一方面对可信赖的报文和应用请求允许通过，另一方面对有害的或可疑的报文禁止通过。同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。防火墙是网络安全中一种很重要的技术。为了达到对网络数据

33、传输进行监视的目的，防火墙一般位于局域网和广域网之间或局域网与局域网之间。5通常防火墙的配置策略是:为查找病毒，扫描所有进入的电子与附件。防火墙改变这些信息的发送方向，使之在进入部服务器之前，首先进入到网络防病毒服务器中。防病毒服务器检查所有改变方向后的和附件中的病毒。假如发现一个被感染的信息，则或者清除病毒，或者将一起删除,并通知管理员。采用这种方案时防火墙实际并不参与查找病毒，它在将的方向改变后,其使命就完成了，而部服务器只是被动地接受给定的输入。但此时假设服务器上出现问题，则管理员必须手工干预，并可能要重新配置多种设备，以采取进一步的补救措施。防火墙的作用 防火墙具有良好的保护作用。入侵

34、者必须首先穿越防火墙的安全防线，才能接触目标计算机。可以将防火墙配置成许多不同保护级别。高级的保护可能禁止一些服务，如视频流等，但至少这是你自己的保护选择。防火墙的工作原理所有的防火墙都具有IP地址过滤功能，这项任务要检查IP，根据IP源地址和目标地址放行 /丢弃决定，两个网段之间隔离了一个防火墙，防火墙的一端有一台计算机，另一边有台PC客户机。当客户机向计算机发起TELENT请求时，PC的客户程序就会产生一个TCP包传给本地的协议准备发送。接下来协议这个TCP包塞到一个IP包里，然后通过PC的TCP /IP协议的路径并把它发送给计算机。 3.4入侵检测入侵检测是一种主动的网络安全防御措施，它

35、不仅可以通过监测网络实现对部攻击、外部攻击和误操作的实时保护，有效地弥补防火墙的不足，而且还能结合其他网络安全产品，对网络安全进行全方位的保护，具有主动性和实时性的特点，是防火墙重要的和有益的补充。它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。实时响应与恢复建立安全实时响应和应急恢复的整体防御。当网络在被攻击和破坏时，能够与时发现与时反应减少损失尽快地恢复网络服务。网络安全系统应该包括:安全防护机制、安全监测机制、安全反应机制、安全恢复机制。安全防护机制是指根据系统具体存在的各种安全漏洞和安全威胁采取相应的防护措施

36、避免非法攻击的进行；安全监测机制监测系统的运行情况，与时发现对系统进行的各种攻击；安全反应机制能对攻击与时的反应，能有效制止攻击的进行，防止损失扩大；安全恢复机制能在安全防护机制失效的情况下进行应急处理和尽量与时地恢复信息，降低被攻击的破坏程度。6入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危与系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称IDS最早入侵检测模型。1.入侵检测系统的作用在八十年代早期使用了“威胁”这一概念术语，其定义与人侵含义一样。他将人侵企图或威胁定义为未经授权蓄意尝试访问信息、窜改信息，使系统不可靠。人侵检测系统(IDS

37、)一般来讲不是采取预防措施以防止人侵检测的发生，人侵检测系统作为安全技术其作用在于:(l)监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。(2)检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。(3)对用户的非正常活动进行统计分析，发现人侵检测的规律。(4)检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和能够实时对检测到的人侵检测进行反应。2.入侵检测方法：基于主机的入侵检测系统和基于网络的入侵检测系统人侵检测系统按照数据来源划分，可以分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。7基于主机的入侵检测系统(HIDS)通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅以主机上的其他信息，例如文件系统属性、进程状态等信息来查找已知的和值得怀疑的攻击模式。它的系统原型有SRI的IDES和MDES、Haystack系统等。其中IDES系统是具备划时代意义的原型系统，它实现了最初的